Esto lo hago para comprobar la fuerza de las contraseñas de los usuarios de un ldap. En mi caso, las contraseñas están almacenadas en base64, y después encriptadas normalmente con ssha.

Fácil. Primero sacamos la relación de usuarios y contraseñas, pero ojo, john the ripper no entiende base64, así que hay que decodificar la salida de, por ejemplo, slapcat:

Con esto, obtenemos una salida similar a:

Copiamos esto a un archivo y le pasamos el john:

Y si consigue descrifrar algún password lo vemos con:

Claro, esto es lo que uso yo. Seguramente el awk o slapcat habrá que adaptarlo a los diferentes casos.

NOTA: recomiendo usar la versión ‘jumbo’ de john: http://www.openwall.com/john/

John the ripper contra LDAP
Etiquetado en:        

Deja un comentario

Tu dirección de correo electrónico no será publicada.